Ich muss endlich aufhören, auf meinem Arbeits 10.3.9 Mac immer die F12-Taste zu drücken ...

Darum habe ich die Option für den automatischen Download "sicherer" Dateien auch längst deaktiviert. Sicher ist sicher.

Isch nehme gar kein safarrri

Kann nicht mit dem Widget auch ein neues Dashboard plugin installiert werden?

Falls ja, dann hätte das Plugin beliebigen Zugriff auf das System und könnte in der Tat sehr gefährlich sein.

"[Sichere Dateien nach dem Laden öffnen] aktiviert hat"
Einfach deaktivieren, ist doch einfach

Da ist der user eher ein Sicherheitsrisiko.

Schönen guten Morgen. Sechs Newsmeldungen weiter unten, hatten wir das ganze Thema bereits.

Ich habe das schon lange deaktiviert. Ich möchte entscheiden, welche Datei ich wann öffnen will und nicht einem Programm wie Safari die Entscheidung überlassen, was sicher sein soll.....

(sick) leute was wird das hier wieder für ein gedudel.

widgets sind nichts anders als javascript. solange ihr js in safari nicht deaktiviert habt ist JEDER seitenaufruf genau so gefährlich.

leider sind da jedoch diese dashboard plugins die jedes widget nachbelieben benutzen kann. so kann man sehr sehr einfach per js sogut wie alles auslesen.

noch einfacher wäre es aber für scriptkiddies, einfach ein applescipt auszuführen, welches den spotlightcache schön zippt dann dies an das js im widget übergeben. mit dem js noch die standard sachen wie ip, uptime, ichat status, itunes status .... auslesen und das schön über ein paar versteckte gateways zu daddy nach hause schicken. dies beim nächsten neustart wiederholen. und zack. widget als perfekte sicherheitslücke. man könnte nichtmal seiner firewall sagen das es dieses widget blocken soll, weil man nur das dashboard allgemein blocken kann.

... ich glaube niemand will so kontrolliert werden. also: am besten nur selbst gebaute widgets starten

"Widgets ein Sicherheitsrisiko?"

nein. bzw ja, aber dann ist alles gefährlich.

wenn man ein böses widget erwischt muss man trotzdem erst mit pwd abfrage die aktion bestätigen, die das teil durchführen will (also wenn diese "gefährlicher natur sind), so wie bei jedem anderen programm. und wer spätestens da nicht drüber nachdenkt, was er da tut, der hat dann eben pech gehabt.

@mattin
hehe, also wenn ich wissen will was spotlight alles im cache hat dann brauch ich kein passwort eingeben. und der spotlight chache ist ne schöne übersicht über deine daten nur in email größe

cab: Genau das ist das Sicherheitsrisiko. Bei mir gibt's das automatische Öffnen auch seit Jahren nicht mehr. Noch bessere Kontrolle hat man mit RCDefaultApp 1.2.1, sehr empfehlenswert und Freeware

nimmermehr, hä? erkläre dich

nimmermehr

"widgets sind nichts anders als javascript."

Das ist leider nicht ganz richtig. Ein Widget kann Plug-Ins mitbringen und die sind ganz normaler Cocoa-Source.

"If you need to dig deeper into the system, or if you need to tap into your own application to create a Widget that closely interacts with it, you can create your own Cocoa-based plug-in. These plug-ins work by providing a JavaScript object that's made available to the Widget."



Auch ohne das hat man mit der Methode widget.system() Zugang zur Shell.

All das wird natürlich "nur" mit den Rechten des aktuellen Benutzers ausgeführt, schon klar. Trotzdem sollte man über mögliche Sicherheitsrisiken reden und sich Gedanken darüber machen. Das größte Sicherheitsrisiken sind nämlich Anwender, die von den Risiken keine Ahnung haben oder nichts davon wissen wollen.

"Das größte Sicherheitsrisiken" sollte heißen "Das größte Sicherheitsrisiko"

Rantanplan:

Wie ich schon im unterend Thread schrieb, habe ich es mit dieser Funktion nicht geschafft, irgendwas sichtbares auszulösen. Ich konnte kein Programm starten und auch keine Datei auf dem Desktop anlegen. Aber vielleicht habe ich ja was falsch gemacht. Oder solche Aktionen werden verhindert.

Gruß,
PM

Ich habe daraus mal einen neuen Thread gemacht, meine Antwort ist dort: